Всем привет, я начинающий админ, который имеет мало практического опыта. Планирую выполнить несколько настроек безопасности на серверах и рабочих станциях пользователей в домене через GPO (например, отключение WDigest, отключение SeDebugPrivilege, отключение DCC, RunAsPPL и тому подобное). Стоит ли бить все это не отдельные GPO или лучше объеденить все в одно?

В чем преимущество разделения мер на GPO, а в чем преимущество сбора их в одну GPO? Например, если я все внесу в одно GPO, и нужно будет настроить исключение для какой-то меры для определенного ПК, я не смогу это сделать? Только если отключить разом все меры в таком случае через запрет применения GPO для конкретного объекта? С ярлыками и другими GPP более менее понятно, ввиду наличия нацеливания, а вот с обычными политиками не совсем.

Также интересует установка ПО, на данный момент у меня 2 GPO (x86 и x64) c настроенными WMI фильтрами, но количество софта, который нужно ставить автоматом растет. Стоит ли бить на отдельные GPO (тогда получится вообще для каждого софта по 2 GPO учитывая разрядности) или так и оставить две политики?

Насколько трудно админам разбираться / дебажить политики, когда их более 100 в домене? Не вызовет ли это значительные задержки при загрузке ПК и входе пользователя? Не вызовет ли это чрезмерную нагрузку на сеть при репликации между DC (их в сети 7, есть сайты, у которых медленные WAN каналы).

Стоит ли бить все это не отдельные GPO или лучше объеденить все в одно? »

Бить и только бить.

В чем преимущество разделения мер на GPO, а в чем преимущество сбора их в одну GPO? »

1. Гибкость и понятливость где что настроено исходя из имени конкретной GPO. Проще искать косяки или неработающие по каким-то причинам функции.
2. Одна GPO в теории быстрее применяется, чем множество GPO. Отсутствие перекрестных политик (когда в одной политике и в другой заданы противоположные настройки к одному объекту).

Например, если я все внесу в одно GPO, и нужно будет настроить исключение для какой-то меры для определенного ПК, я не смогу это сделать? »

Сможете. Но будет это сделать сложнее. В теории нужно распределять группы ПК по OU и уже на OU линковать конкретные GPO.

Также интересует установка ПО, на данный момент у меня 2 GPO (x86 и x64) c настроенными WMI фильтрами, но количество софта, который нужно ставить автоматом растет. Стоит ли бить на отдельные GPO (тогда получится вообще для каждого софта по 2 GPO учитывая разрядности) или так и оставить две политики? »

Ставить две политики на каждую разрядность. Ничего в этом страшного нет если распределить ПК по разным OU.
Вообще от 32-bit систем надо избавляться как класс.

Насколько трудно админам разбираться / дебажить политики, когда их более 100 в домене? »

Все зависит от квалификации, бываю разные случаи. Для более лёгкого разбора, обычно, есть полигон на котором все тестируют и разбирают.

Не вызовет ли это чрезмерную нагрузку на сеть при репликации между DC (их в сети 7, есть сайты, у которых медленные WAN каналы) »

Если грамотно настроить, то не вызовет.